Sviluppatore

Decodificatore JWT

Incolla un JSON Web Token per suddividerlo in intestazione, payload e firma. I timestamp come exp e iat sono formattati in date leggibili, e la tabella delle dichiarazioni mostra ogni campo a colpo d'occhio. Funziona interamente nel tuo browser.

Token JWT

Cos'è un JWT?

Un JSON Web Token (JWT) è un modo compatto e sicuro per URL per rappresentare dichiarazioni tra due parti. È composto da tre segmenti codificati in base64url uniti da punti: un'intestazione che nomina l'algoritmo di firma, un payload che trasporta le dichiarazioni e una firma che prova che il token è stato emesso da qualcuno in possesso della chiave di firma. I JWT sono il formato predefinito per i token di accesso OAuth 2.0, i token ID OpenID Connect e la maggior parte dei sistemi di sessione senza stato. Questo decoder suddivide il token e mostra il JSON grezzo per ogni segmento — non verifica la firma, perché ciò richiederebbe il segreto o la chiave pubblica dell'emittente.

Come utilizzare il decoder JWT

1
Incolla il tuo token
Copia un JWT da un'intestazione di autorizzazione, un registro di debug o un URL. Dovrebbe apparire come eyJ...eyJ...firma con tre segmenti.
2
Esamina l'intestazione e il payload
L'intestazione mostra l'algoritmo (alg) e il tipo di token (typ). Il payload elenca ogni dichiarazione — sub, iss, aud, exp, iat e eventuali campi personalizzati.
3
Controlla la scadenza a colpo d'occhio
I banner di validità ti dicono immediatamente se il token è scaduto, attivo o non ancora valido (nbf). Le dichiarazioni temporali sono mostrate sia in forma UTC che relativa.
4
Copia sezioni individuali
Usa il pulsante di copia sul pannello dell'intestazione o del payload per ottenere JSON pulito per il debug, la condivisione o l'incollaggio in un altro strumento.

Anatomia del JWT

Un JWT ha tre segmenti base64url uniti da punti:
 
    intestazione.payload.firma
 
Intestazione  — JSON che descrive l'algoritmo di firma
          { "alg": "HS256", "typ": "JWT" }
 
Payload — JSON che trasporta le affermazioni
          { "sub": "1234", "exp": 1700000000 }
 
Firma — HMAC o RSA su intestazione.payload, codificato in base64url
 
Affermative di tempo standard (secondi dall'epoca):
  exp  = tempo di scadenza
  iat  = emesso il
  nbf  = non prima di

L'intestazione e il payload sono JSON semplici che chiunque può leggere — base64url è codifica, non crittografia. La firma è ciò che rende il token affidabile: è calcolata dall'emittente utilizzando una chiave segreta (per algoritmi HS*) o una chiave privata (per algoritmi RS*/ES*) sui primi due segmenti. Un server che riceve il token ricalcola la firma con la chiave segreta o pubblica corrispondente e rifiuta qualsiasi cosa non corrisponda. Ecco perché non dovresti mai mettere dati sensibili come le password in un payload, e perché questo strumento decodifica solo — la verifica richiede la chiave dell'emittente.

Riferimento: RFC 7519 — JSON Web Token (JWT)

Esempi

Input	Output
Intestazione: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9	{ "alg": "HS256", "typ": "JWT" } Intestazione minima per un token HMAC-SHA256.
Payload con affermazione exp	{ "sub": "1234", "exp": 1700000000 } exp è secondi dall'epoca — 2023-11-14 in UTC.
Token scaduto	Token scaduto · Scade 2024-01-01 (3 mesi fa) Il banner di validità diventa rosso quando exp è nel passato.
Token malformato (solo due segmenti)	Token non valido: attesi 3 segmenti, ottenuti 2 Un JWT deve avere esattamente tre parti separate da punti in base64url.

Casi d'uso comuni

Debuggare un token di accesso OAuth per vedere quali scope e pubblico trasporta
Controllare se una richiesta fallita è dovuta a un token scaduto
Ispezionare un token ID OpenID Connect per leggere le affermazioni dell'utente come sub ed email
Decodificare un token di magic-link o reset della password per confermare il payload firmato
Verificare che l'emittente corretto (iss) e il pubblico (aud) siano impostati su un token
Leggere l'intestazione kid per capire quale chiave di firma è stata utilizzata
Confrontare due token fianco a fianco quando si indaga su un bug di sessione
Insegnare ai membri del team come sono strutturati i JWT senza scrivere codice

Strumenti correlati

Formatter JSON

Formatta, valida e minimizza JSON con report precisi di linea e colonna degli errori.

Codificatore Base64

Codifica e decodifica testo Base64 con variante sicura per URL opzionale e supporto UTF-8.

Convertitore di Timestamp Unix

Converti tra numeri epoch e date con rilevamento automatico per secondi vs millisecondi.

Calcolatore di Età

Calcola la tua età esatta in anni, mesi e giorni a partire da qualsiasi data di nascita.

Domande frequenti

Questo strumento verifica la firma?

No. Verificare una firma richiede la chiave segreta dell'emittente (per algoritmi HMAC) o la chiave pubblica (per RSA ed ECDSA). Questo strumento decodifica solo l'intestazione e il payload in modo che tu possa leggerli. Tratta qualsiasi token che decodifichi qui come non affidabile fino a quando il tuo backend non convalida la firma rispetto alla chiave dell'emittente.

È sicuro incollare un vero JWT qui?

Tutto viene eseguito nel tuo browser — il token non viene mai caricato, memorizzato o registrato. Detto ciò, un token di accesso nelle tue mani è potente quanto una password: se il tuo browser ha estensioni che leggono i contenuti delle pagine, potrebbero teoricamente vederlo. Per un debug paranoico, usa una finestra privata fresca o decodifica offline.

Perché la firma è mostrata come byte invece di testo?

La firma è un blob binario grezzo — tipicamente 32 byte per HS256, 256 byte per RS256. È codificata in base64url nel token ma la forma decodificata non è leggibile dall'uomo, quindi lo strumento riporta il conteggio dei byte invece di cercare di visualizzare caratteri illeggibili.

Qual è la differenza tra exp, iat e nbf?

Sono le tre dichiarazioni temporali standard della RFC 7519. exp è il tempo di scadenza — dopo questo momento il token è non valido. iat è il tempo di emissione — quando è stato creato il token. nbf è non prima — il momento più presto in cui il token può essere utilizzato. Tutti e tre sono misurati in secondi dall'epoca Unix.

I miei timestamp sembrano molto sballati — sono errati?

I JWT utilizzano secondi dall'epoca, non millisecondi. Questo strumento rileva automaticamente l'unità controllando se il valore è superiore a 10^12 (trattato come millisecondi). Se hai una dichiarazione non standard che memorizza un timestamp con un nome diverso, viene visualizzato come un numero grezzo piuttosto che come una data.

Perché la decodifica fallisce con "not valid base64url"?

Il segmento contiene caratteri al di fuori dell'alfabeto base64url (A-Z a-z 0-9 - _) o manca di padding. Copiare e incollare da client email o app di chat può introdurre silenziosamente spazi bianchi o virgolette intelligenti. Prova a copiare il token da una fonte fresca come gli strumenti di sviluppo del browser.

Posso decodificare un JWT crittografato (JWE)?

No. Questo strumento decodifica JWT firmati (JWS). Un token JWE ha cinque segmenti invece di tre e il suo payload è crittografato piuttosto che semplicemente codificato — hai bisogno della chiave privata del destinatario per leggerlo. Un token JWS regolare con una dichiarazione crittografata (come i token opachi di Auth0) non verrà decodificato in JSON leggibile.

Ho bisogno dell'opzione Base64 sicura per URL?

I segmenti JWT sono sempre codificati in base64url, quindi lo strumento lo gestisce automaticamente — nessuna opzione necessaria. Se hai bisogno di codificare o decodificare testo base64url arbitrario al di fuori di un JWT, usa il codificatore Base64 separato con la casella di controllo sicura per URL abilitata.

Ultimo aggiornamento 2026-04-21

Caricamento...

Cos'è un JWT?

Come utilizzare il decoder JWT

Incolla il tuo token

Copia un JWT da un'intestazione di autorizzazione, un registro di debug o un URL. Dovrebbe apparire come eyJ...eyJ...firma con tre segmenti.

Esamina l'intestazione e il payload

L'intestazione mostra l'algoritmo (alg) e il tipo di token (typ). Il payload elenca ogni dichiarazione — sub, iss, aud, exp, iat e eventuali campi personalizzati.

Controlla la scadenza a colpo d'occhio

I banner di validità ti dicono immediatamente se il token è scaduto, attivo o non ancora valido (nbf). Le dichiarazioni temporali sono mostrate sia in forma UTC che relativa.

Copia sezioni individuali

Usa il pulsante di copia sul pannello dell'intestazione o del payload per ottenere JSON pulito per il debug, la condivisione o l'incollaggio in un altro strumento.

Anatomia del JWT

Un JWT ha tre segmenti base64url uniti da punti:
 
    intestazione.payload.firma
 
Intestazione  — JSON che descrive l'algoritmo di firma
          { "alg": "HS256", "typ": "JWT" }
 
Payload — JSON che trasporta le affermazioni
          { "sub": "1234", "exp": 1700000000 }
 
Firma — HMAC o RSA su intestazione.payload, codificato in base64url
 
Affermative di tempo standard (secondi dall'epoca):
  exp  = tempo di scadenza
  iat  = emesso il
  nbf  = non prima di

Esempi

Input	Output
Intestazione: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9	{ "alg": "HS256", "typ": "JWT" } Intestazione minima per un token HMAC-SHA256.
Payload con affermazione exp	{ "sub": "1234", "exp": 1700000000 } exp è secondi dall'epoca — 2023-11-14 in UTC.
Token scaduto	Token scaduto · Scade 2024-01-01 (3 mesi fa) Il banner di validità diventa rosso quando exp è nel passato.
Token malformato (solo due segmenti)	Token non valido: attesi 3 segmenti, ottenuti 2 Un JWT deve avere esattamente tre parti separate da punti in base64url.

Casi d'uso comuni

Debuggare un token di accesso OAuth per vedere quali scope e pubblico trasporta

Controllare se una richiesta fallita è dovuta a un token scaduto

Ispezionare un token ID OpenID Connect per leggere le affermazioni dell'utente come sub ed email

Decodificare un token di magic-link o reset della password per confermare il payload firmato

Verificare che l'emittente corretto (iss) e il pubblico (aud) siano impostati su un token

Leggere l'intestazione kid per capire quale chiave di firma è stata utilizzata

Confrontare due token fianco a fianco quando si indaga su un bug di sessione

Insegnare ai membri del team come sono strutturati i JWT senza scrivere codice